មេរោគ CraxsRAT ចល័ត
អ្នកជំនាញផ្នែកសន្តិសុខតាមអ៊ីនធឺណិត តាមសេចក្តីរាយការណ៍ បានរកឃើញអត្តសញ្ញាណពិតរបស់បុគ្គលដែលទទួលខុសត្រូវក្នុងការអភិវឌ្ឍ Trojans ពីចម្ងាយ (RATs) ដែលគេស្គាល់ថាជា CypherRAT និង CraxsRAT ។
ដំណើរការក្រោមឈ្មោះក្លែងក្លាយតាមអ៊ីនធឺណិត 'EVLF DEV' និងមានមូលដ្ឋាននៅប្រទេសស៊ីរីសម្រាប់រយៈពេលប្រាំបីឆ្នាំចុងក្រោយនេះ តួអង្គគំរាមកំហែងនេះត្រូវបានគេជឿថារកបានច្រើនជាង $75,000 ដោយចែកចាយ RATs ទាំងពីរនេះទៅកាន់អង្គភាពគំរាមកំហែងផ្សេងៗ។ ព័ត៌មានដែលបានបង្ហាញក៏បង្ហាញផងដែរថាបុគ្គលនេះបម្រើជាប្រតិបត្តិករ Malware-as-a-Service (MaaS) ។
សម្រាប់រយៈពេលបីឆ្នាំចុងក្រោយនេះ EVLF DEV បាននិងកំពុងផ្តល់ជូន CraxsRAT ដែលត្រូវបានចាត់ទុកថាជាកម្មវិធី Android RAT ដ៏គ្រោះថ្នាក់ និងទំនើបជាងមួយ។ RAT នេះមាននៅលើហាងគេហទំព័រផ្ទៃមួយ ដោយមានអាជ្ញាប័ណ្ណប្រហែល 100 ពេញមួយជីវិតបានលក់រហូតមកដល់ពេលនេះ។
មេរោគ CraxsRAT Android គឺអាចប្ដូរតាមបំណងបានខ្ពស់។
CraxsRAT បង្កើតកញ្ចប់ដែលមានភាពច្របូកច្របល់ដោយផ្តល់ឱ្យតួអង្គព្យាបាទនូវភាពបត់បែនក្នុងការកែសម្រួលខ្លឹមសាររបស់ពួកគេដោយផ្អែកលើប្រភេទនៃការវាយប្រហារដែលមានបំណង រួមទាំងការចាក់បញ្ចូលទំព័រ WebView ផងដែរ។ តួអង្គគំរាមកំហែងមានសេរីភាពក្នុងការកំណត់ឈ្មោះ និងរូបតំណាងរបស់កម្មវិធីសម្រាប់ការជ្រៀតចូលឧបករណ៍ ក៏ដូចជាមុខងារជាក់លាក់ដែលមេរោគនឹងមាន។
លើសពីនេះ អ្នកសាងសង់រួមបញ្ចូលនូវមុខងារដំឡើងរហ័ស ដែលបង្កើតកម្មវិធីដោយមានការអនុញ្ញាតក្នុងការដំឡើងតិចតួច ដើម្បីគេចពីការរកឃើញ។ ទោះយ៉ាងណាក៏ដោយ ក្រោយការដំឡើង តួអង្គគំរាមកំហែងរក្សាលទ្ធភាពស្នើសុំការធ្វើឱ្យសកម្មនៃការអនុញ្ញាតបន្ថែម។
Trojan នេះប្រើប្រាស់សេវាកម្មភាពងាយស្រួលរបស់ Android ដើម្បីទទួលបានមុខងារជាច្រើន រួមទាំងការចាក់សោរ ការគ្រប់គ្រងអេក្រង់ប៉ះ និងការជ្រើសរើសជម្រើសដោយស្វ័យប្រវត្តិ។ ជួរដ៏ធំទូលាយនៃសមត្ថភាពរបស់ CraxsRAT គ្របដណ្តប់លើកិច្ចការដូចជាការថតសំឡេង និងការផ្សាយបន្តផ្ទាល់អេក្រង់របស់ឧបករណ៍។ វាអាចទទួលបានការថតសំឡេងឬចូលរួមក្នុងការឃ្លាំមើលពេលវេលាពិតប្រាកដដោយប្រើមីក្រូហ្វូនរបស់ទូរស័ព្ទនិងទាំងកាមេរ៉ាខាងមុខនិងខាងក្រោយ។ Trojan អាចតាមដានទីតាំងរបស់ឧបករណ៍ដែលបំពានតាមរយៈទីតាំងភូមិសាស្ត្រ ឬដោយការតាមដានចលនាបន្តផ្ទាល់។ ជាលទ្ធផល វាមានសមត្ថភាពកំណត់ទីតាំងពិតប្រាកដរបស់ជនរងគ្រោះ។
ជម្រើស 'super mod' ក៏មានសម្រាប់ឧក្រិដ្ឋជនតាមអ៊ីនធឺណិតផងដែរ ដើម្បីធ្វើឱ្យ CraxsRAT ធន់នឹងការដកចេញពីឧបករណ៍ដែលមានមេរោគ។ នេះត្រូវបានសម្រេចដោយការធ្វើឱ្យគាំងរាល់ពេលដែលការប៉ុនប៉ងលុបកម្មវិធីត្រូវបានរកឃើញ។
CraxsRAT លួចឧបករណ៍ជនរងគ្រោះដែលមានទិន្នន័យសម្ងាត់ និងឯកជន
CraxsRAT ក៏ត្រូវបានបំពាក់ដើម្បីគ្រប់គ្រងកម្មវិធីផងដែរ។ នេះរួមបញ្ចូលទាំងភារកិច្ចដូចជាការទទួលបានបញ្ជីកម្មវិធីដែលបានដំឡើង បើក ឬបិទពួកវា បើក ឬបិទ និងសូម្បីតែលុបពួកវា។ ទន្ទឹមនឹងការគ្រប់គ្រងអេក្រង់ CraxsRAT មានសមត្ថភាពចាក់សោ ឬដោះសោអេក្រង់ ហើយវាអាចធ្វើឲ្យអេក្រង់ងងឹត ដើម្បីបិទបាំងសកម្មភាពព្យាបាទរបស់វា។ មេរោគនេះពង្រីកសមត្ថភាពរបស់វាចំពោះកិច្ចការគ្រប់គ្រងឯកសារ ដូចជាការបើក ការផ្លាស់ទី ការចម្លង ការទាញយក ការបង្ហោះ ការអ៊ិនគ្រីប និងការឌិគ្រីបឯកសារ។
CraxsRAT មានសមត្ថភាពក្នុងការត្រួតពិនិត្យគេហទំព័រដែលបានចូលប្រើ និងពង្រឹងការបើកទំព័រជាក់លាក់។ RAT នេះអាចផ្តួចផ្តើមខ្សែសង្វាក់ឆ្លងមេរោគដោយការទាញយក និងដំណើរការបន្ទុកដោយខ្លួនឯង ឬដោយការបញ្ឆោតជនរងគ្រោះឱ្យធ្វើដូច្នេះតាមរយៈគេហទំព័រព្យាបាទដែលបានបើកដោយបង្ខំ។ ជាលទ្ធផល តាមទ្រឹស្ដី កម្មវិធីនេះអាចប្រើប្រាស់ដើម្បីផ្សាំឧបករណ៍ដែលមានមេរោគ Trojans ពិសេស ransomware និងទម្រង់មេរោគផ្សេងៗទៀត។
CraxsRAT មានសមត្ថភាពគ្រប់គ្រងទំនាក់ទំនងរបស់ទូរសព្ទដោយការអាន លុប និងបន្ថែមទំនាក់ទំនងថ្មី។ លើសពីនេះ កម្មវិធីគំរាមកំហែងមានជំនាញក្នុងការពិនិត្យមើលកំណត់ហេតុការហៅទូរសព្ទ (រួមទាំងការហៅចូល ចេញ និងខកខាន) កត់ត្រាការសន្ទនាតាមទូរសព្ទ និងសូម្បីតែចាប់ផ្តើមហៅទូរសព្ទ។ ដូចគ្នានេះដែរ Trojan អាចចូលប្រើសារ SMS (ទាំងផ្ញើ និងទទួល ក៏ដូចជាសេចក្តីព្រាង) ហើយផ្ញើពួកគេ។ មុខងារទាំងនេះទាក់ទងនឹងការហៅទូរសព្ទ និងសារជាអក្សរដាក់ទីតាំង CraxsRAT ដែលត្រូវប្រើជា Toll Fraud malware។
RAT អាចចូលប្រើមាតិកាដែលរក្សាទុកក្នុងក្ដារតម្បៀតខ្ទាស់ (ឧ. សតិបណ្ដោះអាសន្នចម្លង-បិទភ្ជាប់)។ CraxsRAT ក៏កំណត់គោលដៅគណនីផ្សេងៗ និងព័ត៌មានបញ្ជាក់ការចូលរបស់ពួកគេផងដែរ។ ក្នុងចំណោមឧទាហរណ៍ដែលបានរាយក្នុងសម្ភារៈផ្សព្វផ្សាយរបស់ខ្លួនគឺអ៊ីមែលមិនបានបញ្ជាក់គណនី Facebook និង Telegram។
វាជារឿងសំខាន់ក្នុងការគូសបញ្ជាក់ថា អ្នកបង្កើតមេរោគជារឿយៗកែលម្អកម្មវិធីរបស់ពួកគេ ហើយ CraxsRAT ក៏មិនខុសគ្នាដែរ។ អាស្រ័យហេតុនេះ ការឆ្លងទាំងនេះមិនត្រឹមតែបង្ហាញភាពចម្រុះដោយសារធម្មជាតិដែលអាចប្ដូរតាមបំណងរបស់ពួកគេប៉ុណ្ណោះទេ ប៉ុន្តែថែមទាំងបង្ហាញពីការប្រែប្រួលដោយសារការណែនាំនៃលក្ខណៈពិសេសដែលបានបញ្ចូលថ្មី។